Σε αντίθεση με άλλες μορφές συγκέντρωσης πληροφοριών οι οποίες λαμβάνουν χώρα μακρόθεν, η κατασκοπία σχετίζεται κυρίως με την πρόσβαση τόσο στο χώρο που φυλάσσονται οι επιθυμητές πληροφορίες όσο και στους ανθρώπους οι οποίοι τις γνωρίζουν.

Στο παρόν άρθρο θα αναλύσουμε το θέμα της βιομηχανικής κατασκοπίας. Παρά το γεγονός ότι τα περιστατικά που θα εξετάσουμε φαντάζουν να έχουν βγει από ταινίες του James-Bond, η βιομηχανική κατασκοπία είναι στις μέρες μας περισσότερο διαδεδομένη από ποτέ. Στο πρώτο μέρος του άρθρου παραθέτουμε εισαγωγικά στοιχεία, στατιστικές για το πρόβλημα και πραγματικές υποθέσεις, ενώ σε επόμενο άρθρο θα παρουσιάσουμε τις τεχνικές μεθόδους που χρησιμοποιούνται από τους εμπλεκόμενους αλλά και τρόπους προστασίας.

Γενικώς περί Κατασκοπίας
Κατασκοπία είναι η πρακτική της συγκέντρωσης εμπιστευτικών πληροφοριών (κρατικών αλλά και εμπορικών μυστικών) χωρίς την άδεια του κατόχου τους. Κατά τον ορισμό που χρησιμοποιούν οι Η.Π.Α., «Κατασκοπία είναι η πράξη της απόκτησης, παράδοσης, εκπομπής, γνωστοποίησης ή λήψης πληροφοριών για την εθνική άμυνα, με πρόθεση τη χρήση των πληροφοριών για να πληγούν οι Η.Π.Α. ή προς όφελος κάποιου τρίτου κράτους». Σε αντίθεση με άλλες μορφές συγκέντρωσης πληροφοριών οι οποίες λαμβάνουν χώρα μακρόθεν, η κατασκοπία σχετίζεται κυρίως με την πρόσβαση τόσο στο χώρο όπου φυλάσσονται οι επιθυμητές πληροφορίες όσο και στους ανθρώπους οι οποίοι τις γνωρίζουν. Στη δεύτερη περίπτωση οι κατάσκοποι θα προσπαθήσουν να αποσπάσουν την πληροφορία από τα εξουσιοδοτημένα να τη γνωρίζουν άτομα, με κάποιο τέχνασμα.

Βιομηχανική, Εταιρική, Εμπορική, Οικονομική Κατασκοπία

Αφήνοντας κατά μέρος τα εθνικά μυστικά, κατασκοπία που διαπράττεται για εμπορικούς και οικονομικούς σκοπούς καλείται βιομηχανική, εταιρική, εμπορική ή οικονομική. Περιλαμβάνει μεταξύ άλλων την κλοπή εμπορικών μυστικών, τη δωροδοκία, τον εκβιασμό και τη χρήση προχωρημένων ηλεκτρονικών μέσων παρακολούθησης και υποκλοπών, που θα αναλύσουμε στο επόμενο άρθρο. Αξίζει να σημειωθεί στο σημείο αυτό ότι ακόμα και ένα κράτος μπορεί να πέσει θύμα τέτοιας μορφής κατασκοπίας (π.χ. κατά τη διάρκεια δημόσιου διαγωνισμού για προμήθεια εξοπλισμού μεγάλης αξίας).
Η σημασία της βιομηχανικής κατασκοπίας είναι τόσο μεγάλη, που ο πρώην Διοικητής της Γενικής Διεύθυνσης Εξωτερικής Ασφάλειας της Γαλλίας (DGSE-Direction generale de la securite exterieure) Pierre Marion είχε δηλώσει δημοσίως τα εξής: «Η κατασκοπία αποτελεί σημαντική δραστηριότητα για τη Γαλλία προκειμένου να παραμένει πρωτοπόρα στη διεθνή αγορά και Τεχνολογία. Φυσικά και έχει χρησιμοποιηθεί κατά των Η.Π.Α. όσο και άλλων χωρών. Θα πρέπει να θυμάστε ότι παρά το γεγονός ότι είμαστε σύμμαχοι σε θέματα άμυνας, στον οικονομικό χώρο είμαστε ανταγωνιστές».

Στην άλλη πλευρά του Ατλαντικού ο πρώην Διευθυντής του FBI, Louis Freeh, έχει δηλώσει ό,τι: «Η οικονομική κατασκοπία αποτελεί πλέον τη μεγαλύτερη απειλή στην εθνική ασφάλεια μετά τον ψυχρό πόλεμο».
Ειδικά για τη σχέση της Κίνας, η Επιτροπή Ανασκόπησης Οικονομικών και Ασφάλειας μεταξύ Η.Π.Α. – Κίνας (United States – China Economic & Security Review Commission) δηλώνει στα τέλη του 2007 ό,τι: «Η κινεζική κατασκοπία αποτελεί τη μεγαλύτερη απειλή για την τεχνολογία των Η.Π.Α. και οδηγεί στην απόκτηση κρίσιμων πληροφοριών για τη στρατιωτική και βιομηχανική ενδυνάμωση της Κίνας. Είναι επιτακτικός ο έλεγχος των εξαγωγών και της λήψη μέτρων κατά της κατασκοπίας, ειδικά στις περιπτώσεις της κρατικά επιδοτούμενης βιομηχανικής κατασκοπίας».

Επιχειρηματική – Ανταγωνιστική Ευφυΐα
Εκτός της «παράνομης» κατασκοπίας υπάρχουν και αρκετές μορφές νόμιμης «κατασκοπίας» (σε διάφορους βαθμούς ηθικής) που συλλογικά μπορεί να αναφέρονται ως επιχειρηματική ή ανταγωνιστική ευφυΐα (Business-Competitive Intelligence). Πράγματι, οι ενδιαφερόμενοι μπορούν να συγκεντρώσουν πληροφορίες από μια πληθώρα μέσων, με απολύτως νόμιμο τρόπο. Ενδεικτικά αναφέρουμε τις εφημερίδες, τους ισολογισμούς, τις καταθέσεις διπλωμάτων ευρεσιτεχνίας, τις δημοσιεύσεις σε επιστημονικά περιοδικά, τα στοιχεία από δίκες, τα διάφορα διαφημιστικά δεδομένα, τις ιστοσελίδες κ.ο.κ.
Πάγια τακτική αποτελεί εξάλλου η προσπάθεια «εξόρυξης» πληροφοριών μεταξύ ανταγωνιστών κατά τη διάρκεια εκθέσεων και συνεδρίων. Οι ερευνητές αλλά και το προσωπικό των πωλήσεων παρακολουθούν τέτοιες εκδηλώσεις για να ενημερώνονται αλλά και για να προωθήσουν τα προϊόντα της εταιρείας τους. Συνήθως όμως στην προσπάθειά τους αυτή, αποκαλύπτουν περισσότερες πληροφορίες απ’ όσο πρέπει. Οι «αντίπαλοι» χρησιμοποιούν λοιπόν επαγγελματίες ειδικευμένους στην εξόρυξη πληροφοριών για να αποσπάσουν όσο το δυνατόν περισσότερα στοιχεία. Αυτοί παρουσιάζονται συχνά ως πιθανοί πελάτες ή επιστήμονες. Με προχωρημένες τεχνικές και κατάλληλη εκπαίδευση αποσπούν πληροφορίες από τους πρόθυμους και ενθουσιώδεις υπαλλήλους, οι οποίοι δεν αντιλαμβάνονται την «παγίδα». Έτσι δεν γίνεται άμεσα αντιληπτό ότι η εταιρεία ουσιαστικά δημοσιεύει η ίδια όλα της τα μυστικά και με τον τρόπο αυτό οι ανταγωνιστές μπορούν να εξαγάγουν συμπεράσματα για τις άλλες εταιρείες και τα προϊόντα τους. Μπορεί μάλιστα η ανακάλυψη μιας τέτοιας απώλειας πληροφοριών να καθυστερήσει για αρκετό καιρό, οπότε και πλέον θα είναι αργά για την αντιμετώπιση των συνεπειών.
Οι εκάστοτε χώρες επίσης δείχνουν ιδιαίτερο ενδιαφέρον για υπηκόους τους, οι οποίοι εργάσθηκαν στο παρελθόν σε εταιρείες/Οργανισμούς τρίτων χωρών. Τυπικά, ένα άτομο θα επιδείξει περισσότερη αφοσίωση στη χώρα του, παρά σε μια ξένη εταιρεία και αν του ζητηθεί να αποκαλύψει πληροφορίες προς όφελος του εθνικού συμφέροντος, πιθανώς να συμφωνήσει. Σε πιο προχωρημένο επίπεδο, το ίδιο το κράτος μπορεί να μεσολαβήσει και να βοηθήσει με κάθε δυνατό τρόπο την πρόσληψη ενός υπηκόου του σε μια εταιρεία/Οργανισμό ξένης χώρας, προκειμένου αργότερα το άτομο αυτό να χρησιμοποιηθεί για την κατασκοπία.
Προφανώς η μετακίνηση υψηλόβαθμων στελεχών από εταιρεία σε εταιρεία ισοδυναμεί με μεταφορά γνώσης στους ανταγωνιστές. Ακόμα και χωρίς τη θέλησή τους οι υπάλληλοι αναπόφευκτα θα χρησιμοποιήσουν τεχνογνωσία από τον προηγούμενο εργοδότη τους κατά την καθημερινή τους εργασία.

Οι κοινοπραξίες αποτελούν επίσης μία άριστη διαδικασία διαρροής μυστικών, αφού για την επέκταση της στάθμης της τεχνολογίας και την παραγωγή νέων προϊόντων είναι αναγκαίο να αποκαλυφθούν πληροφορίες για την τρέχουσα τεχνολογία. Στο ίδιο μήκος κύματος μια χώρα μπορεί να ζητά «ανταποδοτικά» οφέλη για τη δραστηριοποίηση μιας εταιρείας τρίτης χώρας στην επικράτειά της. Τα «ανταποδοτικά» αυτά ανταλλάγματα μπορεί να περιλαμβάνουν εκπαίδευση προσωπικού και μεταφορά τεχνολογίας και πάλι. Τέλος, ας μην ξεχνάμε την αποτελεσματικότερη μέθοδο: Την εξαγορά μιας εταιρείας από μία άλλη, οπότε αυτόματα λαμβάνει χώρα μεταφορά τεχνολογίας.

Το πρόβλημα και οι εμπλεκόμενοι
Η βιομηχανική κατασκοπία είναι πιο συχνή στους τομείς υψηλής τεχνολογίας, όπως είναι ο χώρος των Ηλεκτρονικών, της Αυτοκινητοβιομηχανίας, της Φαρμακευτικής, της Χημείας, της Βιολογίας, της Αεροναυπηγικής – Διαστημικής και της Ενέργειας. Στους εξόχως ανταγωνιστικούς αυτούς τομείς, άπαξ και η πληροφορία κλαπεί, ελάχιστα μπορούν να γίνουν για να περιορισθεί το αντίκτυπο ενώ οι απώλειες μπορεί να είναι δυσβάσταχτες. Το πρόβλημα εντείνεται λόγω πολλών παραγόντων που παρουσιάζουμε επιγραμματικά παρακάτω:

  • Τα ποσά που διακυβεύονται είναι τεράστια και αντίστοιχα μεγάλες μπορεί να είναι και οι «απολαβές» όσων εμπλέκονται. Σε περιόδους κρίσης όπου εκτός των άλλων λαμβάνουν χώρα και συγχωνεύσεις και εξαγορές, η αξία των πληροφοριών γίνεται ακόμα μεγαλύτερη.
  • Υπάλληλοι (και κυρίως οι Διαχειριστές) τμημάτων πληροφορικής έχουν πρόσβαση στα συστήματα και στους εξυπηρετητές όπου φυλάσσονται ευαίσθητες πληροφορίες, κώδικες, λεπτομέρειες πιστωτικών καρτών, τεχνικά σχέδια κ.λπ.
  • Ακόμη χειρότερα, σε ορισμένες περιπτώσεις οι υπάλληλοι δεν έχουν ενημερωθεί για την κρισιμότητα των δεδομένων που διαχειρίζονται, με αποτέλεσμα να μην ασκούν τη δέουσα επιμέλεια.
  • Υπάρχουν δεκάδες τρόποι για τη διαρροή των δεδομένων, που περιλαμβάνουν δισκέτες, μνήμες USB, CD/DVD, κινητά τηλέφωνα, MP3/4 players, αλλά και τη χρήση δικτύου (email, ftp, VPN πρόσβαση κ.λπ.). Πολύ χαρακτηριστική είναι και η περίπτωση των Wikileaks όπου ο στρατιώτης Bradley Manning αποκάλυψε ότι αντέγραφε απόρρητα δεδομένα σε επανεγγράψιμα CD, με τα οποία περνούσε χωρίς υποψίες από τον έλεγχο, με το πρόσχημα ότι περιείχαν μουσική της Lady Gaga!
  • Η έλλειψη ασφάλειας φυσικά χειροτερεύει την κατάσταση αλλά στον αντίποδα μπορεί να γίνεται και κατάχρηση τεχνικών μέσων ασφάλειας. Αυτό μπορεί να δημιουργήσει μια εσφαλμένη εντύπωση σιγουριάς και συνεπώς να οδηγήσει σε «χαλάρωση».
  • Την ίδια στιγμή οι περιορισμοί λόγω ασφάλειας δυσχεραίνουν την καθημερινή εργασία των υπαλλήλων και για το λόγο αυτό αποτελεί κοινή πρακτική να «παρακάμπτονται».
  • Όπως αναφέρθηκε ήδη, δεν λείπουν και οι αποκαλύψεις εκ παραδρομής. Οι επιστήμονες συχνά λόγω ενθουσιασμού μπορεί να αποκαλύψουν στοιχεία σε ομιλίες τους σε συνέδρια και άλλες εκδηλώσεις, χωρίς φυσικά να έχουν σκοπό να βλάψουν την εταιρεία. Ακόμα και η ίδια η εταιρεία στην προσπάθειά της να διαφημίσει καλύτερα κάποιο προϊόν, μπορεί να υποπέσει σε παρόμοια σφάλματα
  • Το σύγχρονο επιχειρηματικό περιβάλλον επιβάλλει τον περιορισμό του κόστους σε όλα τα επίπεδα. Οι πληροφορίες πρέπει να μεταδίδονται γρήγορα μεταξύ των ιδίων των εταιρειών αλλά και προς τους συνεργάτες τους, αφού με αντίστοιχα επιτακτικούς ρυθμούς λειτουργούν και οι αγορές. Το πρόβλημα λοιπόν επεκτείνεται και εκτός των στενών ορίων της εταιρείας – και μπορεί και εκτός χώρας στην περίπτωση των πολυεθνικών. Η ασφαλής ανταλλαγή πληροφοριών με συνεργάτες και προμηθευτές αποτελεί μια δύσκολη διαδικασία.
  • Μεγάλο «πονοκέφαλο» στο κεφάλαιο αυτό αποτελεί και η ανάθεση υπεργολαβιών σε τρίτες εταιρείες (outsourcing) που συνήθως βρίσκονται σε κάποια χώρα εκτός Ευρώπης-Αμερικής.
  • Ας μην ξεχνάμε ότι νέα προϊόντα και νέες τεχνολογίες δημιουργούν και νέες επικινδυνότητες. Μικρές εταιρείες έρευνας και ανάπτυξης, με υψηλό δείκτη καινοτομίας, συχνά επικεντρώνουν όλες τους τις δυνάμεις στην έρευνα, παραμελώντας τη διασφάλιση της πνευματικής τους ιδιοκτησίας.

Στο «παιχνίδι», δραστηριοποιούνται πολλοί «παίκτες», μεταξύ των οποίων ξένες κυβερνήσεις, ανταγωνιστές, μικρές εταιρείες οι οποίες δεν διαθέτουν τους απαραίτητους πόρους για να αναπτύξουν οι ίδιες τεχνολογία και μεμονωμένοι ιδιώτες με σκοπό την εκδίκηση ή το κέρδος. Για να επιτύχουν τα σχέδιά τους χρησιμοποιούν επαγγελματίες μεσίτες πληροφοριών, δυσαρεστημένους υπαλλήλους, υπαλλήλους που προσλαμβάνονται εξαρχής με σκοπό να διαπράξουν κατασκοπία, hackers και κατασκόπους. Η τελευταία κατηγορία μπορεί να περιλαμβάνει ένα ευρύ φάσμα ατόμων, όπως φοιτητές, μετανάστες, μεταφραστές, δημοσιογράφους, τουριστικούς ξεναγούς κ.ο.κ. Με το ρόλο που αναλαμβάνουν τα άτομα αυτά μπορεί να χαρακτηρισθούν ως «ήρωες» ή και «προδότες», ανάλογα με την οπτική γωνία εξέτασης του ζητήματος.

Στατιστικά στοιχεία και Πραγματικές Υποθέσεις
Για την έκταση του προβλήματος έχουν γίνει αρκετές μελέτες. Η τεχνική έκθεση Information Security Breaches Survey 2010 της PricewaterhouseCoopers αναφέρει ότι το 46% των μεγάλων εταιρειών και το 16% των μικρότερων εταιρειών στο Ηνωμένο Βασίλειο, είχαν αντιμετωπίσει μέσα στο 2010 διαρροή εμπιστευτικών πληροφοριών από υπαλλήλους τους.

Η έρευνα Information Security Breaches Survey του Department for Business, Enterprise & Regulatory Reform (BERR) για το 2008, δείχνει ότι το 85% των μεγάλων εταιρειών στο Ηνωμένο Βασίλειο έχουν άκρως εμπιστευτικές πληροφορίες.

Και στις Η.Π.Α., η έρευνα Computer Crime & Security Survey 2008 της CSI αποκαλύπτει ότι το 9% των περιστατικών ασφάλειας αφορά σε απώλεια δεδομένων και ότι το 44% αφορά σε κατάχρηση «εκ των έσω».

Παλαιότερα στοιχεία αναφέρουν ότι οι απώλειες των εταιρειών στις Η.Π.Α. ξεπερνούν τα 250 δισεκατομμύρια δολάρια το χρόνο, από κλοπή εμπιστευτικών πληροφοριών (US Trade Representative (USTR) report 2006) ενώ και η American Society for Industrial Security (ASIS) υπολογίζει τη ζημιά σε 300 δισεκατομμύρια δολάρια. Πρέπει μάλιστα να σημειωθεί ότι οι εκθέσεις αυτές βασίζονται σε προέκταση – παρεκβολή (extrapolation) των δηλωθέντων περιπτώσεων. Πολύ περισσότερες περιπτώσεις όμως δεν αναφέρονται ποτέ, για να μην τεθεί σε κίνδυνο η φήμη της εταιρείας και η εμπιστοσύνη του κοινού και των επενδυτών. Επομένως τα πραγματικά ποσά μπορεί να είναι πολύ μεγαλύτερα.

Ορισμένα πραγματικά γεγονότα
Στις επόμενες παραγράφους παραθέτουμε ορισμένα από τα πιο ενδιαφέροντα περιστατικά και περιπτώσεις των τελευταίων ετών. Μπορούμε μάλιστα να κάνουμε και δύο απλές παραδοχές: Οι περιπτώσεις που φτάνουν στο φως της δημοσιότητας αποτελούν μόνο την κορυφή του παγόβουνου και πολλοί περισσότεροι καταφέρνουν να διαφύγουν από όσους καταλήγουν στα χέρια της Δικαιοσύνης.
Ο κατάλογος των περιστατικών βιομηχανικής κατασκοπίας είναι μακρύς και ανάμεσα στα θύματα βρίσκονται κολοσσοί όπως η Intel, η Unilever, η CISCO, Bristol-Myers Squibb, η Gillette, η Kodak και άλλοι. Σε μία από τις πιο ακριβές υποθέσεις μάλιστα, οι απώλειες της Lockheed Martin από κλοπή πνευματικής ιδιοκτησίας υπολογίσθηκαν στο 1 δισεκατομμύριο δολάρια. Το θέμα της κατασκοπίας (βιομηχανικής και μη) έγινε πρόσφατα πασίγνωστο στο ευρύ κοινό από τα γεγονότα των Wikileaks και απασχόλησε τα μέσα ενημέρωσης για μεγάλο χρονικό διάστημα.
Το GhostNet ήταν ένα εκτεταμένο σύστημα παρακολούθησης, που ανακαλύφθηκε από Καναδούς ερευνητές στο Πανεπιστήμιο του Τορόντο. Με στοχευμένες επιθέσεις, το σύστημα είχε πρόσβαση σε χιλιάδες υπολογιστές κρατικών Οργανισμών και υπηρεσιών, επιτρέποντας στους επιτιθέμενους να αντιγράψουν πληροφορίες και να τις μεταφέρουν σε εξυπηρετητές στην Κίνα
Το “σκουλήκι – worm” Stuxnet αποτελεί παράδειγμα εξελιγμένου λογισμικού, που κατάφερε να επηρεάσει τη λειτουργία πυρηνικού αντιδραστήρα στο Ιράν, εκμεταλλευόμενο αδυναμίες σε συγκεκριμένα συστήματα ηλεκτρονικού ελέγχου (PLC). Η πολυπλοκότητά του και η στοχευμένη του δράση παραπέμπουν σε «κρατική» εμπλοκή.
Ιδιαίτερα γνωστή έγινε και η υπόθεση με την κωδική ονομασία “Operation Aurora”, μέρος της οποίας αποτέλεσε και η κλοπή πνευματικής ιδιοκτησίας από τη Google Κίνας, αλλά και η πρόσβαση σε emails ακτιβιστών. Οι έρευνες που ακολούθησαν συσχέτισαν την επίθεση με δύο κινεζικά Πανεπιστήμια, το ένα εκ των οποίων είχε και στενές σχέσεις με το Στρατό. Το όλο γεγονός οδήγησε στη διακοπή λειτουργίας της Google στην Κίνα, το Μάρτιο του 2010.
Σε μία σπάνια περίπτωση συνεργασίας μεταξύ «αιώνιων αντιπάλων», ένας υπάλληλος της Coca-Cola και δύο συνεργοί του, συνελήφθησαν στην Ατλάντα για κλοπή πνευματικής ιδιοκτησίας (συνταγή για νέο προϊόν) και προσπάθεια πώλησης στην ανταγωνίστρια PepsiCo. Η PepsiCo ενημέρωσε έγκαιρα την Coca-Cola και το FBI και η συνεργασία οδήγησε στη σύλληψη των εμπλεκόμενων στην υπόθεση, το 2006.

Επίλογος

Θα κλείσουμε τη μικρή αυτή αναφορά στο θέμα της βιομηχανικής κατασκοπίας, με άλλη μία υπόθεση που δείχνει πόσο ανυπεράσπιστη μπορεί να είναι μια εταιρεία -θύμα: Το 2004 υπήρξε φημολογία ότι είχαν διαρρεύσει οι συνομιλίες του Διευθύνοντος Συμβούλου της Marks & Spencer’s. Όταν η Marks & Spencer’s επικοινώνησε με δύο κορυφαίες εταιρείες διαχείρισης ρίσκου και συμβουλευτικής, αμφότερες αρνήθηκαν να αναλάβουν την υπόθεση, λόγω σύγκρουσης συμφερόντων. Προφανώς κάποιοι τρίτοι είχαν ήδη αναθέσει στις εταιρείες αυτές να εξετάσουν το γεγονός και πιθανώς να ανακαλύψουν και ποιος είχε στη διάθεσή του τις συνομιλίες αυτές! Στο επόμενο άρθρο θα εξετάσουμε τεχνικά ζητήματα της βιομηχανικής κατασκοπίας αλλά και τους τρόπους προστασίας. Μέχρι τότε είναι σίγουρο ότι θα έχουν λάβει χώρα δεκάδες περιστατικά κατασκοπίας, που πιθανώς δεν θα αποκαλυφθούν ποτέ.

Δρ. Ιωσήφ Ι. Ανδρουλιδάκης
Σύμβουλος Ασφάλειας Τηλεπικοινωνιακών Συστημάτων